防火墙/UTM/安全网关

写在最前:
安全产品系列目录:目录&总述

FireWall 防火墙

用于边界安全防护的权限控制和安全域的划分
防外不防内,隔离区域
配置策略,按需划分,最小授权原则

产品简介

    采用应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的下一代边界安全产品。其核心理念是立足于用户网络边界,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。

产品特点
  1. 全面的应用、用户识别能力
  2. 细致的应用层控制
  3. 应用层安全防护能力
    入侵防护、URL过滤、防病毒、内容过滤
  4. 应用层安全处理性能
    基础网络数据包的高速转发,应用层安全处理的高性能
  5. 内网资产风险管理
  6. 云端安全管理模式
  7. 高稳定性和可靠性
  8. 支持路由、交换、访问控制、流量管理、SNAT/DNAT、日志报表等传统功能
用户价值
  1. 对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本
  2. 事前的风险预知和事后的检测&响应能力,主动发现被保护的资产对象,以及被保护对象的风险状况
  3. 帮助有关部门、机构和人员及时对网络安全风险信息进行监测评估
1.部署模式
路由模式

    当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。路由器两端是不同子网
    采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
路由模式

透明模式

    如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
    采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
透明部署

旁路模式

    在其他设备上开一个镜像口接入,逻辑上类似透明模式,检查流量经过,但不能进行阻断
部署简单,不改变现有结构,不影响速度,出现故障不会影响其他设备
旁路部署
旁路部署可以进行特殊流量配置,比如:三角传输
    三角传输,也叫Direct Server Return(DSR)模式,是旁路部署的一个特例这种模式下只有入站方向流量进入到设备,服务器返回的流量不经过设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数流量集中在服务器响应的方向上,若充分信任内部安全性,这种配置可以提升处理能力。

双机热备

    这种可能会用到混合模式:防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下
主备模式
    主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
负载分担模式
    两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如下图所示,Firewall 1和Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断
一般部署
双机热备-一般模式
会话备份
双机热备-会话备份
因为有重传机制
所以在两台防火墙完全主备部署的情况下,即使不使用会话备份,在设备故障切换时只是会影响业务的切换时间,但不会完全导致业务不可用;对于新建连接,只是增加一次会话建立时间,对数据转发没有任何影响

当两台防火墙做负载分担,而且数据流量存在来回路径不一致的时候,防火墙必须开启会话备份功能。
因为开启了OSPF负载分担,以TCP数据流为例,假如Trust区域的某客户要去访问Untrust区域的资源,TCP数据流第一个SYN报文根据等价路由被转发到Firewall 1,但是对方回应的SYN-ACK报文被上面路由器转发到了Firewall 2,对于Firewall 2由于报文是从Untrust到Trust,策略是禁止的,而且设备本身又没有会话,所以这个报文就会被丢弃,TCP连接建立失败。尽管TCP超时后会再次发起连接,但是如果上下两台路由器等价路由的Hash方式不变,报文会一直按着上面所说的路径转发,所以TCP连接永远失败。
在这里插入图片描述

工作过程

路由工作模式
    防火墙工作在路由模式下,此时所有接口都配置IP 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP 地址来查找路由表,此时 防火墙表现为一个路由器。但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
透明工作模式
    防火墙工作在透明模式下,此时所有接口都不能配置IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch 进行网络连接。
混合工作模式
    防火墙工作在混合透明模式下,此时部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间
    进行转发时,转发过程与透明模式的工作过程完全相同。

UTM 统一威胁管理

Unified Threat Management
集成多种功能
若开启多项功能,可能性能不足,大多用于中低端公司

产品简介

    集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、Web内容过滤、反垃圾邮件、流量整形、用户身份认证、审计以及BT(蓝牙)、IM(即时通讯)控制等多种应用

产品特点

    集成多种产品功能,方便配置,管理

用户价值
  1. 便于部署,维护
  2. 性价比高
1. 部署模式

与防火墙类似,但一般不用于区域划分(太贵),只在内外网之间放一个

生产厂商

防火墙/UTM/安全网关/下一代防火墙/第二代防火墙:
天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云

  • 3
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙、病毒网关UTM安全设备都是用于网络安全防护的设备,它们各自有优点和缺点。 防火墙的优点: 1. 防火墙可以有效地过滤网络流量,防止外部攻击者入侵内部网络。 2. 防火墙可以根据规则控制网络访问,防止内部用户访问不安全的网站或者危险的应用程序。 3. 防火墙可以监视网络流量,及时发现并阻止异常流量,从而提高网络安全性。 防火墙的缺点: 1. 防火墙只能保护网络边界,无法防止内部攻击。 2. 防火墙只能检测已知攻击,无法应对新型攻击。 3. 防火墙性能受限,无法处理大量的数据流量。 病毒网关的优点: 1. 病毒网关可以阻止病毒和恶意软件进入内部网络,提高网络安全性。 2. 病毒网关可以检测和清除已知的病毒和恶意软件,及时保护内部网络。 3. 病毒网关可以加强对邮件和文件传输的安全检查,避免病毒通过这些途径传播。 病毒网关的缺点: 1. 病毒网关无法应对新型病毒和恶意软件的攻击。 2. 病毒网关性能受限,无法处理大量的数据流量。 3. 病毒网关需要不断升级病毒库,增加了管理和维护成本。 UTM安全设备的优点: 1. UTM安全设备集成了多种安全功能,包括防火墙、病毒网关、入侵检测和防御等,提供了全面的安全保护。 2. UTM安全设备可以根据不同的安全策略,对网络流量进行过滤和控制,提高网络安全性。 3. UTM安全设备可以减少管理和维护成本,避免多个安全设备之间的兼容性和配置问题。 UTM安全设备的缺点: 1. UTM安全设备性能有限,无法处理大量的数据流量。 2. UTM安全设备需要不断更新安全策略和病毒库,增加了管理和维护成本。 3. UTM安全设备可能存在单点故障,一旦出现问题,整个网络的安全都会受到影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值